Mới đây, một nhóm tin tặc với bí danh MUT-1244 đã tấn công và đánh cắp hơn 390.000 thông tin tài khoản WordPress trong chiến dịch kéo dài cả năm. Nhóm MUT-1244 đã nhắm vào các hacker khác bằng việc sử dụng một công cụ kiểm tra thông tin đăng nhập WordPress bị nhiễm mã độc. Theo các nhà nghiên cứu của Datadog Security Labs, không chỉ thông tin đăng nhập WordPress mà cả các khóa riêng tư SSH và khóa truy cập AWS cũng bị lấy cắp từ hàng trăm hệ thống bị xâm nhập. Nhóm nạn nhân bao gồm các chuyên gia bảo mật, thử nghiệm xâm nhập, và cả những đối tượng xấu.
Cuộc tấn công này được thực hiện thông qua trojan trong các kho GitHub, nơi cung cấp các PoC (proof of concept) chứa mã độc nhắm vào lỗ hổng an ninh đã biết. Các email lừa đảo được sử dụng để lừa các nạn nhân cài đặt phần mềm độc hại, giả dạng như là một bản cập nhật vi mã CPU. Các kho này giả mạo có vẻ hợp lệ để lừa đảo các chuyên gia bảo mật và tin tặc có nhu cầu tìm kiếm mã khai thác cho những lỗ hổng cụ thể.
Theo các nhà nghiên cứu, nhiều nạn nhân đã vô tình tải và chạy các kho này do chúng được lấy từ các nguồn đáng tin cậy như Feedly Threat Intelligence và Vulnmon và được trình bày như các PoC hợp lệ. Mã độc được tải về thông qua nhiều phương pháp khác nhau, bao gồm các tệp cấu hình bị backdoor, tệp PDF độc hại, script Python và các gói npm có hại. Một phần chiến dịch này trùng với vụ tấn công chuỗi cung ứng kéo dài một năm trước đó.
Mã độc còn giúp nhóm tấn công MUT-1244 thu thập và gửi dữ liệu đến các dịch vụ chia sẻ tệp như Dropbox và file.io, sử dụng các thông tin đăng nhập được lập trình sẵn. Các nhà nghiên cứu từ Datadog Security Labs đã xác định rằng hơn 390.000 thông tin đăng nhập đã bị di chuyển đến Dropbox. Các tin tặc ban đầu đã sử dụng công cụ CHECK của MUT-1244 để xác nhận tính hợp lệ của các thông tin này, phần lớn chúng mua từ chợ đen.
Nhóm tin tặc đã thành công lợi dụng lòng tin trong cộng đồng an ninh mạng để xâm nhập vào hệ thống của nhiều chuyên gia bảo mật và tin tặc. Hành động này đã dẫn đến việc đánh cắp nhiều dữ liệu quan trọng như khóa SSH, thông tin AWS, và lịch sử lệnh. Các hệ thống bị ảnh hưởng vẫn tiếp tục bị tấn công trong khi chiến dịch này đang diễn ra.
